Alarm suche Hilfe nach W32.Parite.b virus befall!!!!!!!

#1 Hallo Leutz,

es ist mal wieder soweit, habe service pack 2 und firewall aktiviert und nun auf einmal beim scannen meiner laufwerke die fehlermeldung, daß w32.parite.b gefunden wurde und das beim aufrufen jeder *.exe!!!!
hoffe jetzt hier die gleiche kompetente hilfe zu finden wie bei meinem letzten problem.
bin übrigens sehr verwundert, daß ich dieses ding jetzt habe, da ich kurz zuvor mein system mithilfe meiner medion recovery dvd komplett neu aufgelegt habe und danach diesen Schei... virus finde!
lasse gerade den bit.defender laufen, weiß aber nicht, ob dies der richtige weg ist , um das ding komplett zu entfernen?
überlege die ganze zeit, wie es nach einem neuauflegen des systems so schnell zu einem virenbefall gekommen ist?

hoffe ich bekomme die richtigen antworten, bin nämlich mal wieder ziehmlich rat und rastlos!

vielen dank im voraus

gruß michael

#2 Logfile of HijackThis v1.98.2
Scan saved at 21:51:20, on 08.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\eMule\emule.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102528469359
O17 - HKLM\System\CCS\Services\Tcpip\..\{85E596BA-3D2B-4B7C-8BD9-16CB979AEF3C}: NameServer = 195.50.140.250 145.253.2.174

#3 Hallo@mhbuxe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
vielleicht hast du anstelle von dem was du wolltest...den Parite geladen.....
_______________________________________________________________________

Wenn W32/Parite-B ausgeführt wurde, verbleibt er im Speicher und infiziert alle PE- und SCR-Dateien auf jedem Laufwerk und auf jeder Netzwerkfreigabe.

Der hauptsächliche Virencode wird in einer zufällig benannten TMP-Datei im Windows-temp-Verzeichnis abgelegt. Die Datei hat eine Größe von 172 KB.
The UPX-packed dropped DLL is injected into the EXPLORER.EXE process for the virus to remain memory resident. Cleaning involves the unloading of this DLL from EXPLORER, which requires the 4.2.60 engine (or greater). A reboot may be required after the .dll is removed from explorer.exe.
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=99690
http://securityresponse.symantec.com/avcenter/venc/data/w32.pinfi.html

Eintrag in der Registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\
loeschen:
PINF

Fuer alle Benutzer-Konten und auch im abgesicherten Modus durchfuehren:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.de/down/tools-f.php
FP-315B.ZIP Dateigröße: ca. 2418 kB vom 07.10.2004
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.
__________________________________________________________________
__________
MfG Sabina

rund um die PC-Sicherheit